一種訪問控制列表的配置方法和裝置制造方法
【專利摘要】本發(fā)明提出一種訪問控制列表的配置方法和裝置���,包括:將多個ACL中相同的ACL規(guī)則作為ACL共享段進(jìn)行單獨加載���;在所述多個ACL中的所述ACL共享段的被引用位置分別預(yù)設(shè)用于跳轉(zhuǎn)到所述ACL共享段的第一跳轉(zhuǎn)規(guī)則;在所述ACL共享段的最末端預(yù)設(shè)用于跳轉(zhuǎn)到本次ACL查找的父ACL的第二跳轉(zhuǎn)規(guī)則����;當(dāng)業(yè)務(wù)在所述多個ACL中任一父ACL中進(jìn)行ACL查找時,根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中進(jìn)行ACL查找���,并在完成所述ACL共享段中的ACL查找后��,根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中�����,以繼續(xù)完成針對所述父ACL的ACL查找����;通過本發(fā)明能節(jié)約內(nèi)存空間的占用,同時提高ACL的可閱讀性��。
【專利說明】一種訪問控制列表的配置方法和裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信【技術(shù)領(lǐng)域】����,尤其涉及一種ACL配置方法和裝置。
【背景技術(shù)】
[0002] ACL(Access Control List,訪問控制列表)可以應(yīng)用在諸多領(lǐng)域���,目前最基本的 應(yīng)用就是利用ACL進(jìn)行報文過濾���;此外,ACL還可應(yīng)用于諸如路由��、安全����、QoS(Quality of Service,服務(wù)質(zhì)量)等業(yè)務(wù)中。
[0003] 所謂ACL�����,是指一條或多條規(guī)則的集合,用于識別報文流�。所述規(guī)則是指描述報文 匹配條件的判斷語句,所述匹配條件可以是報文的源地址�����、目的地址�、端口號等���,網(wǎng)絡(luò)設(shè)備 依照這些規(guī)則識別出特定的報文��,并根據(jù)預(yù)先設(shè)定的策略對該報文進(jìn)行處理�。
[0004] ACL中的每條規(guī)則都有自己的編號�,該編號在該ACL中是唯一的。在創(chuàng)建規(guī)則時���, 可以手工為其指定一個編號�����,如未手工指定編號��,則由系統(tǒng)為其自動分配一個默認(rèn)編號��。當(dāng) 一個ACL中包含多條規(guī)則時�,報文會按照一定的順序與這些規(guī)則進(jìn)行匹配,一旦匹配上某 條規(guī)則便結(jié)束匹配過程���。當(dāng)前通用的匹配順序多為按照配置順序�����,即按照規(guī)則編號由小到 大進(jìn)行匹配�。
[0005] ACL實際上是對數(shù)據(jù)流的一種分類方法�����,通過ACL的定義�,把數(shù)據(jù)流分為不同的類 型,對每種類型的數(shù)據(jù)流分別進(jìn)行不同的業(yè)務(wù)處理���。設(shè)備啟動后�,ACL規(guī)則會加載到內(nèi)存中����, 調(diào)用ACL的業(yè)務(wù)模塊可使用對應(yīng)的內(nèi)存地址來訪問該ACL。
[0006] 然而��,由于設(shè)備啟動后ACL是常駐內(nèi)存的,并且隨著ACL廣泛的應(yīng)用于安全��、QoS�����、 路由模塊等各種業(yè)務(wù)�,設(shè)備上的ACL以及每個列表中的ACL規(guī)則數(shù)越來越多�����,因此ACL占用 內(nèi)存空間也就越來越大����。
【發(fā)明內(nèi)容】
[0007] 有鑒于此,本發(fā)明提出一種ACL配置方法���,應(yīng)用在網(wǎng)絡(luò)設(shè)備上��,其特征在于���,所述 方法包括:
[0008] 將多個ACL中相同的ACL規(guī)則作為ACL共享段進(jìn)行單獨加載;
[0009] 在所述多個ACL中的所述ACL共享段的被引用位置分別預(yù)設(shè)用于跳轉(zhuǎn)到所述ACL 共享段的第一跳轉(zhuǎn)規(guī)則�����;
[0010] 在所述ACL共享段的最末端預(yù)設(shè)用于跳轉(zhuǎn)到本次ACL查找的父ACL的第二跳轉(zhuǎn)規(guī) 則;
[0011] 當(dāng)業(yè)務(wù)在所述多個ACL中任一父ACL中進(jìn)行ACL查找時��,根據(jù)所述第一跳轉(zhuǎn)規(guī)則 跳轉(zhuǎn)到所述ACL共享段中進(jìn)行ACL查找����,并在完成所述ACL共享段中的ACL查找后,根據(jù)所 述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中�,以繼續(xù)完成針對所述父ACL的ACL查找。
[0012] 優(yōu)選地�����,所述ACL共享段中還包括可滲透規(guī)則����;所述可滲透規(guī)則為所述ACL共享段 中的預(yù)留規(guī)則,在設(shè)備啟動時需要加載到父ACL中的對應(yīng)位置�����;
[0013] 所述方法還包括:
[0014] 當(dāng)所述多個ACL中相同的ACL規(guī)則中包括隱式規(guī)則時���,將所述隱式規(guī)則作為所述 可滲透規(guī)則加載到父ACL中的對應(yīng)位置��;
[0015] 其中��,所述可滲透規(guī)則作為所述ACL共享段中的最后一條規(guī)則加載在所述第二跳 轉(zhuǎn)規(guī)則之后��。
[0016] 優(yōu)選地���,所述根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中包括:
[0017] 調(diào)用所述ACL共享段起始位置的第一內(nèi)存地址��,根據(jù)所述第一內(nèi)存地址跳轉(zhuǎn)到所 述ACL共享段中�����;
[0018] 所述根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中包括:
[0019] 調(diào)用所述被引用位置的下一條ACL規(guī)則起始位置的第二內(nèi)存地址,根據(jù)所述第二 內(nèi)存地址跳轉(zhuǎn)到所述父ACL中��。
[0020] 優(yōu)選地�����,所述方法還包括:
[0021] 所述父ACL以及所述ACL共享段中的ACL規(guī)則均按照預(yù)設(shè)步長獨立的進(jìn)行編號��。
[0022] 優(yōu)選地�,所述多個ACL中的所述ACL共享段的被引用位置可以不同。
[0023] 本發(fā)明還提出一種ACL配置裝置���,應(yīng)用在網(wǎng)絡(luò)設(shè)備上����,其特征在于,所述裝置包 括:
[0024] 加載單元����,用于將多個ACL中相同的ACL規(guī)則作為ACL共享段進(jìn)行單獨加載;
[0025] 第一預(yù)設(shè)單元�,用于在所述多個ACL中的所述ACL共享段的被引用位置分別預(yù)設(shè) 用于跳轉(zhuǎn)到所述ACL共享段的第一跳轉(zhuǎn)規(guī)則;
[0026] 第二預(yù)設(shè)單元��,用于在所述ACL共享段的最末端預(yù)設(shè)用于跳轉(zhuǎn)到本次ACL查找的 父ACL的第二跳轉(zhuǎn)規(guī)則�;
[0027] 查找單元,當(dāng)業(yè)務(wù)在所述多個ACL中任一父ACL中進(jìn)行ACL查找時��,根據(jù)所述第一 跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中進(jìn)行ACL查找��,并在完成所述ACL共享段中的ACL查找 后����,根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中,以繼續(xù)完成針對所述父ACL的ACL查找�����。
[0028] 優(yōu)選地,所述ACL共享段中還包括可滲透規(guī)則���;所述可滲透規(guī)則為所述ACL共享段 中的預(yù)留規(guī)則�,在設(shè)備啟動時需要加載到父ACL中的對應(yīng)位置���;
[0029] 所述加載單元進(jìn)一步用于在所述多個ACL中相同的ACL規(guī)則中包括隱式規(guī)則時��, 將所述隱式規(guī)則作為所述可滲透規(guī)則加載到父ACL中的對應(yīng)位置�����;其中�����,所述可滲透規(guī)則 作為所述ACL共享段中的最后一條規(guī)則加載在所述第二跳轉(zhuǎn)規(guī)則之后。
[0030] 優(yōu)選地����,所述查找單元進(jìn)一步用于在根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享 段中時,調(diào)用所述ACL共享段起始位置的第一內(nèi)存地址��,根據(jù)所述第一內(nèi)存地址跳轉(zhuǎn)到所 述ACL共享段中��;
[0031] 所述查找單元進(jìn)一步用于在根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中時,調(diào)用 所述被引用位置的下一條ACL規(guī)則起始位置的第二內(nèi)存地址���,根據(jù)所述第二內(nèi)存地址跳轉(zhuǎn) 到所述父ACL中��。
[0032] 優(yōu)選地���,所述父ACL以及所述ACL共享段中的ACL規(guī)則均按照預(yù)設(shè)步長獨立的進(jìn) 行編號。
[0033] 優(yōu)選地���,所述多個ACL中的所述ACL共享段的被引用位置可以不同�。
[0034] 本發(fā)明通過將多個ACL中相同的ACL規(guī)則作為ACL共享段在內(nèi)存中單獨加載����,同 時在引用該ACL共享段的父ACL以及ACL共享段中分別預(yù)設(shè)跳轉(zhuǎn)規(guī)則,通過所述跳轉(zhuǎn)規(guī)則 完成針對父ACL的ACL順序查找�����,從而使得引用所述ACL共享段的父ACL均不需要單獨重 復(fù)加載所述ACL共享段�����,減少了 ACL對內(nèi)存空間的占用;同時�,本發(fā)明將ACL從一維的鏈表 結(jié)構(gòu)擴(kuò)展為嵌套的樹型結(jié)構(gòu),大大簡化了配置以及維護(hù)工作量�,提高了 ACL的可閱讀性。
【專利附圖】
【附圖說明】
[0035] 圖1是本發(fā)明一種實施方式中一種ACL配置方法的流程圖�����;
[0036] 圖2是現(xiàn)有技術(shù)中ACL占用設(shè)備內(nèi)存的不意圖�����;
[0037] 圖3是本發(fā)明一種實施方式中引入ACL共享段后父ACL中進(jìn)行ACL查找的示意 圖�;
[0038] 圖4是本發(fā)明一種實施方式中一種ACL配置裝置的框圖;
[0039] 圖5是本發(fā)明一種實施方式中一種承載所述ACL配置裝置的網(wǎng)絡(luò)設(shè)備的硬件結(jié)構(gòu) 圖�。
【具體實施方式】
[0040] 本發(fā)明通過將多個ACL中相同的ACL規(guī)則作為ACL共享段在內(nèi)存中單獨加載,同 時在引用該ACL共享段的父ACL以及ACL共享段中分別設(shè)置跳轉(zhuǎn)規(guī)則�,通過跳轉(zhuǎn)規(guī)則的跳 轉(zhuǎn)完成針對父ACL的ACL順序查找,從而使得引用所述ACL共享段的父ACL均不需要單獨 重復(fù)加載所述ACL共享段�,減少了 ACL對內(nèi)存空間的占用。
[0041] 下面結(jié)合附圖并舉實施例��,對本發(fā)明進(jìn)行詳細(xì)描述����。
[0042] 請參見圖1,本發(fā)明提出一種ACL配置方法�����,應(yīng)用在網(wǎng)絡(luò)設(shè)備上��,所述方法執(zhí)行如 下步驟:
[0043] 步驟S101����、將多個ACL中相同的ACL規(guī)則作為ACL共享段進(jìn)行單獨加載;
[0044] 步驟S102����、在所述多個ACL中的所述ACL共享段的被引用位置分別預(yù)設(shè)用于跳轉(zhuǎn) 到所述ACL共享段的第一跳轉(zhuǎn)規(guī)則;
[0045] 步驟S103�����、在所述ACL共享段的最末端預(yù)設(shè)用于跳轉(zhuǎn)到本次ACL查找的父ACL的 第二跳轉(zhuǎn)規(guī)則�����;
[0046] 步驟S104�、當(dāng)業(yè)務(wù)在所述多個ACL中任一父ACL中進(jìn)行ACL查找時,根據(jù)所述第一 跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中進(jìn)行ACL查找��,并在完成所述ACL共享段中的ACL查找 后,根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中�����,以繼續(xù)完成針對所述父ACL的ACL查找��。 [0047] 其中���,所述網(wǎng)絡(luò)設(shè)備可以是需要通過端口對進(jìn)出報文進(jìn)行控制的路由器或者交換 機�;例如���,所述網(wǎng)絡(luò)設(shè)備�,可以是具有防火墻功能的網(wǎng)關(guān)路由器�,在實際應(yīng)用中可以通過在 所述網(wǎng)關(guān)路由器上設(shè)置ACL規(guī)則,來實現(xiàn)對用戶報文中的非法或者攻擊報文進(jìn)行過濾的功 能��。
[0048] 在本實施例中�,網(wǎng)絡(luò)設(shè)備中預(yù)加載的多個ACL中,通常包括一些相同的ACL規(guī)則�����; 例如��,具有防火墻業(yè)務(wù)的網(wǎng)關(guān)路由器的不同接口上�,通常設(shè)置了用于進(jìn)行防火墻業(yè)務(wù)的多 個不同的ACL,在這些ACL中���,除了一些需要被不同接口調(diào)用的與具體業(yè)務(wù)相關(guān)的ACL規(guī)則 以外���,其余的ACL規(guī)則通常是用于丟棄一些已知流量的通用ACL規(guī)則,這部分的ACL規(guī)則往 往相同�。因此,可以將所述多個ACL中相同的ACL規(guī)則��,作為一個ACL共享段進(jìn)行單獨加載�。
[0049] 具體地,設(shè)備首先需要為所述多個ACL在內(nèi)存中分別劃分存儲空間����;其次,還需要 在內(nèi)存中再單獨劃分一段固定內(nèi)存用于存儲所述ACL共享段����;然后將所述相同的ACL規(guī)則 作為ACL共享段單獨加載到預(yù)先分配的所述固定內(nèi)存中;同時�����,將各ACL中互不相同的其他 ACL規(guī)則作為父ACL規(guī)則也加載到預(yù)先為所述多個ACL分別劃分的內(nèi)存存儲空間中。
[0050] 此時���,所述多個ACL已經(jīng)通過劃分ACL共享段被分別拆分成兩段���,分別為父ACL和 ACL共享段,并且所述父ACL以及所述ACL共享段被分別加載在內(nèi)存中不同的存儲空間中����。
[0051] 在本實施例中,所述ACL共享段中還包括可滲透規(guī)則�;所述可滲透規(guī)則通常為所 述ACL共享段中的預(yù)留規(guī)則,在設(shè)備啟動時需要加載到父ACL中的對應(yīng)位置����。
[0052] 在具體應(yīng)用中,所述多個ACL中通常還包括隱式規(guī)則�����,由于不同的ACL中的隱式規(guī) 則通常均相同���,因此所述隱式規(guī)則會被作為所述可滲透規(guī)則加載到所述ACL共享段中����。其 中,所謂隱式規(guī)則通常為ACL中最后一條或者最后幾條包含諸如Permit tcp����,Deny udp或 者Deny ip等語句的ACL規(guī)則����,用于防止ACL的意外誤配置。例如����,所述隱式規(guī)則在具體應(yīng) 用中通常包括諸如Deny ip等語句的隱式拒絕規(guī)則,所述隱式拒絕規(guī)則表示當(dāng)收到的報文 與該列表中隱式拒絕規(guī)則之前的任何一條ACL規(guī)則均不匹配時����,則丟棄該報文。因此���,當(dāng)設(shè) 備啟動后��,還需要將所述ACL共享段中的隱式規(guī)則作為可滲透規(guī)則分別拷貝并加載到所述 父ACL中���。
[0053] 在本實施例中,由于ACL共享段以及所述多個ACL分別被加載在內(nèi)存中不同的存 儲空間中����,因此為了使報文針對所述多個ACL中任一父ACL進(jìn)行ACL查找時����,保持所述父 ACL中ACL規(guī)則查找的順序性和完整性�����,可以在所述父ACL以及所述ACL共享段中分別設(shè)置 特殊的跳轉(zhuǎn)規(guī)則�����;
[0054] -方面����,可以在父ACL中設(shè)置一個第一跳轉(zhuǎn)規(guī)則;當(dāng)設(shè)備針對任一父ACL進(jìn)行ACL 查找時�����,如果查找到所述第一跳轉(zhuǎn)規(guī)則����,則自動調(diào)用所述第一跳轉(zhuǎn)規(guī)則所指向的地址跳轉(zhuǎn) 到ACL共享段中繼續(xù)進(jìn)行ACL查找;其中所述第一跳轉(zhuǎn)規(guī)則指向的地址為所述ACL共享段 起始位置的內(nèi)存地址;所述第一跳轉(zhuǎn)規(guī)則在所述父ACL中的位置����,為所述ACL共享段在所述 父ACL中的被引用位置,所述ACL共享段在所述父ACL中的被引用位置取決于實際的業(yè)務(wù) 需求���;例如�,如果業(yè)務(wù)需要在ACL查找時首先進(jìn)行ACL共享段的匹配�����,那么可以將所述第一 跳轉(zhuǎn)規(guī)則作為第一條ACL規(guī)則設(shè)置在所述父ACL中�����。其中�,值得說明的是�,所述ACL共享段 在所述多個ACL中的被引用位置可以不同;例如�,當(dāng)所述ACL共享段被第一以及第二ACL分 別引用時,所述被引用位置在第一 ACL中可以作為第一條ACL規(guī)則ruleO,在第二ACL中可 以作為第二條ACL規(guī)則rule5 (以規(guī)則編號的默認(rèn)步長為5為例)�����。
[0055] 另一方面,還可以在所述ACL共享段中設(shè)置一個第二跳轉(zhuǎn)規(guī)則�����,用于在完成了 ACL 共享段的ACL查找后跳轉(zhuǎn)到所述父ACL中繼續(xù)進(jìn)行ACL查找�;當(dāng)在ACL共享段中進(jìn)行ACL 查找時,如果查找到所述第二跳轉(zhuǎn)規(guī)則��,則立即調(diào)用所述第二跳轉(zhuǎn)規(guī)則所指向的地址跳轉(zhuǎn) 至IJ本次ACL查找的父ACL中繼續(xù)進(jìn)行ACL查找����;其中,所述第二跳轉(zhuǎn)規(guī)則指向的地址為所述 父ACL中所述ACL共享段的被引用位置的下一條ACL規(guī)則起始位置的內(nèi)存地址�����。例如�,假 設(shè)設(shè)備當(dāng)前針對父ACL3001進(jìn)行ACL查找,父ACL3001中在ruleO中引用了 ACL共享段�����,當(dāng) 根據(jù)所述引用位置加載的所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到ACL共享段后����,繼續(xù)在ACL共享段中進(jìn) 行ACL查找;如果在ACL共享段中查找到了所述第二跳轉(zhuǎn)規(guī)則,則自動調(diào)用父ACL3001中 ruleO的下一條規(guī)則rule5起始位置的內(nèi)存地址(仍以默認(rèn)步長為5為例)��,跳轉(zhuǎn)到本次 ACL查找的父ACL3001中繼續(xù)進(jìn)行ACL查找�����。
[0056] 在本實施例中���,所述ACL共享段中的可滲透規(guī)則不參與ACL共享段中的ACL查找�; 因此為了在ACL共享段中進(jìn)行ACL查找時��,使得所述可滲透規(guī)則不參與ACL查找�,可以將所 述第二跳轉(zhuǎn)規(guī)則作為倒數(shù)第二條ACL規(guī)則加載在所述ACL共享段中的隱式拒絕規(guī)則之前��。 當(dāng)所述第一跳轉(zhuǎn)規(guī)則以及所述第二跳轉(zhuǎn)規(guī)則均設(shè)置完畢后����,此時針對任一父ACL進(jìn)行ACL 查找時,可根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中繼續(xù)進(jìn)行ACL查找��,如果在所述 ACL共享段中仍然沒有查找到匹配的ACL規(guī)則��,則再次通過第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL 中繼續(xù)進(jìn)行ACL查找����。
[0057] 在本實施例中��,所述ACL共享段中ACL規(guī)則的命名可以不受父ACL中的限制���,即將 不同的父ACL中相同的ACL規(guī)則加載到所述ACL共享段中時,可以根據(jù)ACL共享段中的默 認(rèn)步長重新為ACL共享段中的ACL規(guī)則進(jìn)行序號命名���。例如���,當(dāng)父ACL中的rulel5, rule20 和rule25作為與其他ACL相同的ACL規(guī)則加載到ACL共享段中時,這三條ACL規(guī)則在ACL 共享段中的序號可以重新命名為rule5, rulelO和rulel5,即父ACL中ACL規(guī)則的命名與 ACL共享段中的命名可以互不影響�����。從而���,在將ACL共享段中的可滲透規(guī)則拷貝到父ACL中 時�����,所述可滲透規(guī)則需要按照父ACL中的默認(rèn)步長根據(jù)其在父ACL中所處位置重新進(jìn)行命 名��,因此在具體實現(xiàn)時所述可滲透規(guī)則在ACL共享段中以及父ACL中的編號可能不同��。
[0058] 當(dāng)然����,在具體實現(xiàn)時,如果希望所述可滲透規(guī)則在所述ACL共享段中以及所述父 ACL中為統(tǒng)一的編號�,可以在ACL的配置階段就根據(jù)所述可滲透規(guī)則在所述ACL共享段和 所述父ACL中的位置,以及所述ACL共享段以及所述父ACL中所支持的最大ACL規(guī)則數(shù)量�����, 提前為所述可滲透規(guī)則規(guī)劃一個比較大的編號����。例如,如果所述ACL共享段和所述父ACL 中ACL規(guī)則編號的默認(rèn)步長均為5,所支持最大ACL規(guī)則為10的話��,那么所述ACL共享段 和所述父ACL中ACL規(guī)則編號的最大值可以達(dá)到45 ;那么可以將所述可滲透規(guī)則的編號在 ACL的配置階段就統(tǒng)一命名為rUle50,從而保證了將所述可滲透規(guī)則從ACL共享段中拷貝 并加載到父ACL中時����,即不會跟已有ACL規(guī)則的編號沖突����,同時遵從了 ACL共享段以及所述 父ACL對ACL規(guī)則進(jìn)行獨立編號的原則。
[0059] 值得說明的是�����,在具體實現(xiàn)時,在將多個ACL中的相同的ACL規(guī)則加載到ACL共享 段中時����,也可以將所述多個ACL中的可滲透規(guī)則保留在父ACL中,只將除了可滲透規(guī)則之外 的其他相同的ACL規(guī)則加載到ACL共享段中�����,其【具體實施方式】與上述實施方式相同���,不再贅 述�。
[0060] 以下通過一個具體的應(yīng)用實例����,來詳細(xì)描述本發(fā)明;
[0061] 以下所示為2個用于防火墻業(yè)務(wù)的ACL3001和3002 ;
[0062]
【權(quán)利要求】
1. 一種訪問控制列表ACL的配置方法��,應(yīng)用在網(wǎng)絡(luò)設(shè)備上����,其特征在于,所述方法包 括: 將多個訪問控制列表ACL中相同的ACL規(guī)則作為ACL共享段進(jìn)行單獨加載���; 在所述多個ACL中的所述ACL共享段的被引用位置分別預(yù)設(shè)用于跳轉(zhuǎn)到所述ACL共享 段的第一跳轉(zhuǎn)規(guī)則��; 在所述ACL共享段的最末端預(yù)設(shè)用于跳轉(zhuǎn)到本次ACL查找的父ACL的第二跳轉(zhuǎn)規(guī)則�����; 當(dāng)業(yè)務(wù)在所述多個ACL中任一父ACL中進(jìn)行ACL查找時���,根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn) 到所述ACL共享段中進(jìn)行ACL查找�����,并在完成所述ACL共享段中的ACL查找后����,根據(jù)所述第 二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中����,以繼續(xù)完成針對所述父ACL的ACL查找。
2. 如權(quán)利要求1所述的方法�,其特征在于,所述ACL共享段中還包括可滲透規(guī)則����;所述 可滲透規(guī)則為所述ACL共享段中的預(yù)留規(guī)則,在設(shè)備啟動時需要加載到父ACL中的對應(yīng)位 置��; 所述方法還包括: 當(dāng)所述多個ACL中相同的ACL規(guī)則中包括隱式規(guī)則時��,將所述隱式規(guī)則作為所述可滲 透規(guī)則加載到父ACL中的對應(yīng)位置�; 其中,所述可滲透規(guī)則作為所述ACL共享段中的最后一條規(guī)則加載在所述第二跳轉(zhuǎn)規(guī) 則之后����。
3. 如權(quán)利要求1所述的方法,其特征在于�����, 所述根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中包括: 調(diào)用所述ACL共享段起始位置的第一內(nèi)存地址����,根據(jù)所述第一內(nèi)存地址跳轉(zhuǎn)到所述 ACL共享段中; 所述根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中包括: 調(diào)用所述被引用位置的下一條ACL規(guī)則起始位置的第二內(nèi)存地址����,根據(jù)所述第二內(nèi)存 地址跳轉(zhuǎn)到所述父ACL中。
4. 如權(quán)利要求1所述的方法�����,其特征在于,所述方法還包括: 所述父ACL以及所述ACL共享段中的ACL規(guī)則均按照預(yù)設(shè)步長獨立的進(jìn)行編號����。
5. 如權(quán)利要求1所述的方法,其特征在于���,所述多個ACL中的所述ACL共享段的被引用 位置可以不同�����。
6. -種訪問控制列表ACL的配置裝置���,應(yīng)用在網(wǎng)絡(luò)設(shè)備上,其特征在于����,所述裝置包 括: 加載單元,用于將多個ACL中相同的ACL規(guī)則作為ACL共享段進(jìn)行單獨加載�����; 第一預(yù)設(shè)單元����,用于在所述多個ACL中的所述ACL共享段的被引用位置分別預(yù)設(shè)用于 跳轉(zhuǎn)到所述ACL共享段的第一跳轉(zhuǎn)規(guī)則�; 第二預(yù)設(shè)單元��,用于在所述ACL共享段的最末端預(yù)設(shè)用于跳轉(zhuǎn)到本次ACL查找的父ACL 的第二跳轉(zhuǎn)規(guī)則�����; 查找單元�,當(dāng)業(yè)務(wù)在所述多個ACL中任一父ACL中進(jìn)行ACL查找時�����,根據(jù)所述第一跳轉(zhuǎn) 規(guī)則跳轉(zhuǎn)到所述ACL共享段中進(jìn)行ACL查找�����,并在完成所述ACL共享段中的ACL查找后����,根 據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中,以繼續(xù)完成針對所述父ACL的ACL查找��。
7. 如權(quán)利要求6所述的裝置�����,其特征在于,所述ACL共享段中還包括可滲透規(guī)則���;所述 可滲透規(guī)則為所述ACL共享段中的預(yù)留規(guī)則�����,在設(shè)備啟動時需要加載到父ACL中的對應(yīng)位 置�����; 所述加載單元進(jìn)一步用于在所述多個ACL中相同的ACL規(guī)則中包括隱式規(guī)則時�����,將所 述隱式規(guī)則作為所述可滲透規(guī)則加載到父ACL中的對應(yīng)位置���; 其中,所述可滲透規(guī)則作為所述ACL共享段中的最后一條規(guī)則加載在所述第二跳轉(zhuǎn)規(guī) 則之后��。
8. 如權(quán)利要求7所述的裝置��,其特征在于����, 所述查找單元進(jìn)一步用于在根據(jù)所述第一跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述ACL共享段中時����,調(diào)用 所述ACL共享段起始位置的第一內(nèi)存地址��,根據(jù)所述第一內(nèi)存地址跳轉(zhuǎn)到所述ACL共享段 中����; 所述查找單元進(jìn)一步用于在根據(jù)所述第二跳轉(zhuǎn)規(guī)則跳轉(zhuǎn)到所述父ACL中時���,調(diào)用所述 被引用位置的下一條ACL規(guī)則起始位置的第二內(nèi)存地址���,根據(jù)所述第二內(nèi)存地址跳轉(zhuǎn)到所 述父ACL中。
9. 如權(quán)利要求6所述的裝置�����,其特征在于�,所述父ACL以及所述ACL共享段中的ACL規(guī) 則均按照預(yù)設(shè)步長獨立的進(jìn)行編號。
10. 如權(quán)利要求6所述的裝置�,其特征在于,所述多個ACL中的所述ACL共享段的被引 用位置可以不同��。
【文檔編號】H04L29/06GK104092678SQ201410312937
【公開日】2014年10月8日 申請日期:2014年7月2日 優(yōu)先權(quán)日:2014年7月2日
【發(fā)明者】朱皓 申請人:杭州華三通信技術(shù)有限公司